Rapporto SANS Spotlight - Impatto del ransomware sulle grandi imprese globali

Negli ultimi anni, il ransomware è cresciuto fino a diventare una delle minacce più grandi e prolifiche che le organizzazioni devono affrontare oggi. In generale, qualsiasi violazione dei dati è qualcosa che nessun team di sicurezza vorrebbe mai subire. Tuttavia, il ransomware non è solo una violazione dei dati; le vittime del ransomware sono spesso pubblicamente umiliate dagli avversari che chiedono somme esorbitanti per garantire il rilascio dei loro dati bloccati. L'Unità 42 di Palo Alto ha riferito che nella prima metà del 2021 il pagamento medio per il ransomware è salito a 570.000 dollari. Alla fine dello stesso anno, un assicuratore aveva pagato 40 milioni di dollari in riscatti, secondo un rapporto Mimecast del 2021 sui casi di ransomware.

Il ransomware ha avuto un impatto significativo anche sulla sicurezza aziendale. Ha ridefinito il modo in cui elaboriamo i piani di risposta agli incidenti, valutiamo le assicurazioni contro i rischi informatici e sviluppiamo processi aziendali basati sulla continuità e sulla resilienza. Questo impatto potrebbe aver costretto le organizzazioni a guardare in modo diverso al panorama delle minacce, prendendo decisioni diverse da quelle originariamente previste. Inoltre, ha dato un nuovo significato sia al concetto di disastro che ai requisiti per le operazioni di ripristino. Non possiamo ignorare l'impatto che il ransomware ha avuto su alcune delle più grandi organizzazioni del mondo, soprattutto se associato ai cambiamenti derivanti dalla recente pandemia di COVID-19.

In questo documento esaminiamo l'impatto del ransomware sulla sicurezza delle 2.000 aziende più grandi al mondo (G2K). Il ransomware è diventato un "grande business" e, in quanto tale, ha avuto effetti duraturi sulle normali operazioni aziendali, come le attività di fusione e acquisizione e la crescita del settore. Il ransomware ha anche avuto effetti di vasta portata sulle politiche federali e internazionali in materia di sicurezza informatica.

Sebbene spesso ci concentriamo principalmente sugli autori delle minacce, piuttosto che sugli obiettivi delle minacce, il ransomware è un tipo di attacco troppo prolifico e di grande impatto perché le organizzazioni possano ignorarlo. Come illustriamo in questo documento, il ransomware è una minaccia formidabile che ha cambiato il modo di operare di molte organizzazioni.

In questi giorni, stiamo assistendo a un ampliamento delle tattiche, delle tecniche e dei vettori di ingresso utilizzati dagli autori delle minacce ransomware, che sfruttano rapidamente le vulnerabilità e zero-day per ottenere l'accesso e distribuire i primi payload ransomware. Le organizzazioni che non sono consapevoli di queste minacce o che rimangono all'oscuro delle tendenze ransomware si troveranno colte alla sprovvista e rapidamente sfruttate. Sebbene il nostro documento si concentri sul G2K, incoraggiamo le organizzazioni di qualsiasi dimensione a:

• Implementare solide capacità di monitoraggio e rilevamento nei vettori di ingresso del ransomware, quali vulnerabilità e soluzioni di accesso remoto.
• Implementare funzionalità di rilevamento e risposta su endpoint e reti, sia in locale che nel cloud.
• Prendete in considerazione strategie di difesa approfondita per limitare la facilità di riutilizzo delle credenziali e il movimento laterale all'interno del vostro ambiente.
• Limitare la connettività di rete ai sistemi di backup e/o ripristino di emergenza, che sono spesso bersagli degli autori di ransomware.
• Assicurati che il tuo piano di risposta agli incidenti includa la gestione della denuncia pubblica.

Infine, vale la pena notare che, sebbene questo documento si concentri sulla minaccia del ransomware, molte delle raccomandazioni e delle misure di mitigazione descritte in questo documento sono utili per combattere l'ampia gamma di obiettivi che gli autori delle minacce si prefiggono di raggiungere. L'implementazione di requisiti rigorosi per l'accesso remoto o la limitazione della facilità di movimento laterale può bloccare sul nascere una moltitudine di avversari. A grande vantaggio dei team di sicurezza che cercano di ottenere il massimo rendimento dal proprio investimento, gli autori di ransomware spesso riciclano tecniche e tattiche, creando l'opportunità per gli analisti di sicurezza di individuare gli attacchi prima che si trasformino in violazioni.

Impatto del ransomware su^G2K1

Come abbiamo già detto, l'impatto del ransomware può essere facilmente percepito dalle organizzazioni di tutte le dimensioni. Tuttavia, date le loro dimensioni e portata, le organizzazioni G2K hanno subito alcuni degli attacchi ransomware più pubblicizzati. Inoltre, dati i loro ricavi accumulati e i loro profili pubblici, le G2K rimangono in cima alla lista degli obiettivi dei malintenzionati. Promettono un bottino ransomware maggiore di quello che le organizzazioni più piccole possono permettersi.

È interessante notare che potremmo anche sostenere che le organizzazioni G2K sono obiettivi ben difesi. Potremmo supporre che, a partire da un certo livello di fatturato, i reparti di sicurezza ricevano finanziamenti (potenzialmente consistenti) e che la sicurezza delle informazioni sia parte integrante delle operazioni aziendali. Purtroppo, come abbiamo imparato più volte, non è sempre così. Questo non significa che i team di sicurezza delle grandi organizzazioni non stiano facendo un buon lavoro. Tuttavia, possiamo imparare dalle loro esperienze. Esaminiamo e impariamo dai casi di studio pubblici per determinare il modo migliore per implementare la sicurezza e garantire pratiche di difesa più efficaci.

Impatto sulla fiducia dei clienti: Accenture (G2K #169)

Il nostro primo caso di studio esamina l'impatto del ransomware sulla fiducia dei clienti nei confronti di un'organizzazione. La riservatezza dei clienti è di fondamentale importanza per un'azienda come Accenture ed è spesso considerata uno dei principali fattori di differenziazione delle società di consulenza. Nell'agosto 2021, Accenture ha subito un attacco ransomware che ha portato al furto confermato di dati proprietari dai suoi sistemi IT e ha creato una doppia minaccia.

In primo luogo, quando un avversario viola la sicurezza, crittografa i dati e richiede un riscatto, l'organizzazione entra immediatamente in modalità panico per determinare la causa principale dell'attacco e le azioni da intraprendere. Tuttavia, quando un'organizzazione è responsabile dei dati di altri, deve anche identificare rapidamente i dati specifici che sono stati compromessi o rubati dall'ambiente. Inoltre, un'organizzazione vittima di un attacco deve rispondere a domande fondamentali come: "L'avversario può utilizzare questi dati per danneggiare l'azienda o i suoi clienti?" Deve anche valutare se l'avversario può utilizzare i dati rubati per prendere di mira e attaccare con successo altre organizzazioni.

In genere, nei casi di ransomware in cui i dati rubati sono informazioni di identificazione personale (PII) o dati proprietari, l'organizzazione deve concentrarsi sulla risoluzione urgente dell'intrusione. Senza un programma di sicurezza che preveda una "clausola" relativa al ransomware, un piano di risposta agli incidenti potrebbe essere troppo lento o non sufficientemente coinvolto per contrastare un attacco di questo tipo prima che si verifichino conseguenze dannose o per riportare l'organizzazione alla normalità dopo l'intrusione. Inoltre, una comprensione dettagliata e tempestiva di ciò che è accaduto e dei dati che potrebbero essere stati rubati è fondamentale per l'esito delle trattative. La decisione di Accenture avrebbe potuto essere diversa se fossero stati sottratti grandi quantità di dati dei clienti.

Risultato: gli avversari hanno affermato che erano stati rubati 6 TB di dati e hanno chiesto un riscatto di 50 milioni di dollari. Tuttavia, Accenture ha ripristinato i sistemi interessati da un backup e ha confermato che nessun dato dei clienti era stato sottratto.

Non vi è alcuna garanzia che i clienti se ne vadano o rimangano a causa di una violazione ransomware. Tuttavia, la protezione dei dati dei clienti e della proprietà intellettuale dell'organizzazione dovrebbe essere uno degli obiettivi principali dell'organizzazione. Il ransomware può essere la forza che spinge verso nuove politiche di sicurezza e l'implementazione di processi e controlli più forti e avanzati, che il team di sicurezza dovrebbe accogliere e implementare nella misura massima possibile.

Impatto sulla Supply Chain globale: JBS USA (G2K #525)

Il nostro secondo caso di studio esamina l'impatto del ransomware sulle operazioni della catena di approvvigionamento e quanto possa essere devastante un attacco informatico nel mondo fisico. Nel maggio 2021, JBS USA, uno dei maggiori fornitori di carne degli Stati Uniti, ha reso noto che un attacco ransomware aveva bloccato le operazioni di produzione in cinque stabilimenti, che lavoravano complessivamente 22.500 capi di bestiame al giorno. L'interruzione delle operazioni si è estesa anche agli stabilimenti in Australia, evidenziando quanto fossero interconnessi i sistemi di JBS.

JBS è un esempio perfetto di come un attacco ransomware possa influire su una catena di approvvigionamento globale. L'interruzione della produzione di carne ha colpito una lunga lista di clienti di JBS, tra cui ristoranti, negozi di alimentari e fornitori, come gli allevatori di bestiame. Questa interruzione potrebbe indurre sia i clienti che i fornitori di JBS a cercare altri fornitori e consentire agli autori dell'attacco di aumentare il costo del riscatto richiesto. Inoltre, a seconda dell'entità dei danni subiti dai sistemi di produzione, potrebbero essere necessari giorni o settimane per tornare alla normale velocità operativa.

Risultato: JBS ha ceduto alle richieste di riscatto e ha pagato 11 milioni di dollari agli autori della minaccia. Sebbene l'azienda abbia dichiarato che nessun dato relativo all'azienda, ai clienti o ai dipendenti è stato compromesso, è probabile che la decisione di pagare 11 milioni di dollari sia stata dettata dal fatto che era preferibile a un'ulteriore perdita di produzione per uno o più giorni.

Impatto sull'integrità dei dati ed estorsione: Brenntag (G2K #1088)

Infine, il nostro terzo caso di studio esamina l'impatto sull'integrità dei dati causato da una violazione ransomware ai danni di Brenntag, un'azienda di distribuzione di prodotti chimici con sede in Germania. Nel maggio 2021 è stato riferito che il gruppo ransomware DarkSide ha compromesso la divisione nordamericana di Brenntag utilizzando credenziali rubate. Al culmine dell'attacco, gli avversari hanno lanciato il previsto payload di crittografia e hanno rubato quasi 150 GB di file dall'ambiente.

Secondo quanto dichiarato dal gruppo ransomware al momento della divulgazione, i dati rubati (che non erano crittografati nelle mani degli avversari) includevano contratti, accordi di riservatezza, formule chimiche e documenti finanziari e contabili di importanza cruciale. Sebbene non sappiamo se gli avversari comprendessero il significato dei dati in loro possesso, ne capivano sicuramente il valore e la probabilità che Brenntag volesse mantenerli riservati.

Utilizzando i dati rubati come leva, la richiesta iniziale del ransomware era di 7,5 milioni di dollari. Secondo le quotazioni G2K, Brenntag è un'azienda da 14,2 miliardi di dollari, quindi 7,5 milioni di dollari sembrano una "goccia nel mare". Questo è un punto di vista che spesso adottano gli autori delle minacce ransomware: si tratta di una parte così piccola del vostro valore che la sicurezza dei vostri dati deve valere questa piccola somma. Questa strategia si riflette nelle loro tattiche di negoziazione.

Risultato: Brenntag ha infine pagato 4,4 milioni di dollari dei 7,5 milioni richiesti inizialmente agli autori della minaccia l'11 maggio 2021. Sebbene spesso avvenga a porte chiuse, il processo di negoziazione del riscatto è un altro processo in cui gli avversari investono tempo e competenze per ottenere il massimo dalla vittima.

Impatto del ransomware sulla sicurezza

In soli tre brevi casi di studio, siamo stati in grado di evidenziare come un attacco ransomware possa avere un impatto immediato sulla fiducia dei clienti, sulle catene di approvvigionamento globali o sull'integrità dei dati. I tre attacchi che abbiamo esaminato sono solo la punta dell'iceberg. Il ransomware è diventato un settore multimiliardario, con alcune stime che lo collocano a oltre 10 miliardi di dollari nel 2021. Tuttavia, si potrebbe stranamente sostenere che il ransomware abbia anche cambiato contemporaneamente sia il panorama delle minacce che quello della sicurezza aziendale.

Impatto sul rilevamento e sulla risposta agli incidenti

L'area in cui il ransomware ha avuto il maggiore impatto è senza dubbio il modo in cui le organizzazioni rilevano e rispondono agli incidenti. Se ripensiamo alle violazioni dei dati dei primi anni 2010, avevamo un mondo per lo più consumato da violazioni motivate da ragioni finanziarie, spionaggio industriale/statale e hacktivismo. Il ransomware era visto come una minaccia "fastidiosa" che richiedeva solo poche centinaia di dollari e che spesso poteva essere facilmente gestita con tecniche di recupero dei dati.

Arriviamo al 2021-2022: gli autori degli attacchi ransomware hanno affinato le loro competenze. Un attacco ransomware ora identifica e prende di mira con efficacia i meccanismi di recupero dei dati. Sono stati segnalati diversi casi in cui gli autori degli attacchi sono riusciti a passare da zero a amministratore di dominio e a crittografia completa in poche ore, il che significa che i team di sicurezza hanno ancora meno tempo per stare al passo e neutralizzare una minaccia.

Gli autori dei ransomware hanno ulteriormente migliorato le loro competenze concentrandosi sulle fasi successive alla crittografia di un attacco. Le trattative vengono gestite da una parte separata che conosce la vittima, è in grado di discutere di questioni finanziarie ed è disposta ad accettare una somma inferiore rispetto al riscatto originario. Allo stesso tempo, gli autori dei ransomware non esitano a ricattare le vittime e a minacciarle con la divulgazione dei dati e altre situazioni imbarazzanti.

Questi parametri hanno modificato il rilevamento degli incidenti e la risposta in alcuni aspetti fondamentali:

• I team di sicurezza devono essere in grado di rilevare le minacce più rapidamente. I tempi di permanenza degli avversari misurati in giorni possono comportare controlli di sicurezza troppo lenti e dare agli autori delle minacce ransomware troppo tempo per agire.
• Non si tratta più di rilevare il payload del ransomware: ormai è troppo tardi. Oggi l'attenzione deve concentrarsi sulle attività e sulle tecniche che precedono l'implementazione del ransomware.
• Ora più che mai, i team di sicurezza dovrebbero affidarsi a tecnologie di rilevamento e risposta efficaci (sia a livello di rete che endpoint, ovvero NDR ed EDR, rispettivamente) per fornire funzionalità avanzate di rilevamento e gestione. La copertura degli attacchi che sfruttano account privilegiati è un fattore chiave da considerare, data la loro importanza centrale negli attacchi moderni.
• I piani di risposta agli incidenti devono includere opzioni rapide che neutralizzino immediatamente le minacce. I tempi in cui era necessario inviare una richiesta di modifica per bloccare una porta del firewall comportavano una perdita di tempo eccessiva, soprattutto per gli avversari più abili che si muovono alla velocità della luce attraverso una rete piatta.
• I piani di risposta agli incidenti devono includere anche altri reparti "non tradizionali". Non tutti gli incidenti che si verificano in un'organizzazione richiedono necessariamente l'intervento dei reparti legale o di pubbliche relazioni. Tuttavia, una violazione causata da un ransomware potrebbe essere resa pubblica prima ancora che il team di sicurezza riesca a gestirla. Ciò dovrebbe richiedere il coinvolgimento di altre parti, esperte nella gestione di questioni esterne.

Per quanto riguarda il rilevamento e la risposta agli incidenti, esistono anche opportunità uniche per i team di sicurezza. Le preoccupazioni del consiglio di amministrazione e dei dirigenti riguardo a un attacco ransomware possono fornire l'impulso necessario per finanziare un determinato strumento o progetto, spostare le risorse vulnerabili in una "posizione" più sicura o finalmente implementare politiche e processi che il team di sicurezza sta cercando di ottenere da tempo.

È interessante notare che gli attacchi ransomware sono tra gli unici tipi di attacchi che si concentrano sul risultato dell'attacco, non necessariamente sugli autori della minaccia e/o sui loro obiettivi associati. Sebbene questo sia un punto di vista unico, non elimina la necessità di misure di sicurezza di base, che possono contribuire in modo significativo a fermare tutti i tipi di attacchi, non solo quelli ransomware.

Impatto sulle soluzioni di accesso remoto, sulle password e sulle autorizzazioni

Le soluzioni di accesso remoto fanno parte delle normali operazioni aziendali da decenni; non è una novità che gli amministratori accedano ai sistemi per normali aggiornamenti IT, manutenzione, ecc. Purtroppo, sono anche diventate uno dei vettori di ingresso preferiti dagli autori di ransomware, che sanno che i sistemi di accesso remoto o "jump box" sono spesso configurati con una sicurezza leggera, ma con autorizzazioni pesanti.

Di conseguenza, i processi aziendali hanno dovuto esplorare una modifica o un processo aziendale completamente nuovo per consentire agli amministratori l'accesso remoto. Anche se questo può sembrare una semplice misura di sicurezza, il ransomware è stato uno dei principali fattori che hanno spinto verso l'autenticazione a più fattori, l'uso obbligatorio della VPN o la completa eliminazione delle soluzioni di accesso remoto.

Il ransomware ha anche influito sul modo in cui le organizzazioni trattano le password e le autorizzazioni dei propri utenti. Troppo spesso assistiamo a violazioni dei dati che coinvolgono account con autorizzazioni eccessive, scarsa sicurezza perimetrale e credenziali facilmente intuibili. Anche all'interno della popolazione G2K, questo è un problema preesistente che si presta allo sfruttamento da parte degli avversari. Inoltre, l'analisi forense e la risposta agli incidenti possono risultare difficili quando un avversario si "mescola" al traffico normale.

Il ransomware può tuttavia fungere da catalizzatore per attuare cambiamenti organizzativi indispensabili. L'implementazione dell'autenticazione a più fattori è una buona pratica raccomandata da anni dai professionisti della sicurezza: può scoraggiare il ransomware e altri tipi di attacchi da parte di avversari che non hanno il tempo di superare un ostacolo di sicurezza così "robusto".

Sarebbe negligente da parte nostra non sottolineare che una misura semplice come l'autenticazione multifattoriale può ridurre di oltre il 10% il tasso di successo degli attacchi. Un numero significativo di attacchi si basa su credenziali deboli e monofattoriali per l'accesso remoto. L'introduzione di un ostacolo può interrompere l'automazione degli attacchi, impedire la vendita delle credenziali e scongiurare attacchi altrimenti facili da sferrare.

Impatto sulle vulnerabilità e sui cicli di vita dello sviluppo software (SDLC)

Il ransomware ha avuto anche un impatto positivo sulla gestione delle vulnerabilità e sui cicli di vita dello sviluppo software. Ciò deriva da un recente cambiamento (negli ultimi 24 mesi) negli attacchi ransomware, che hanno avuto origine da vulnerabilità ed exploit piuttosto che dal tradizionale accesso remoto o spearphishing. La rapida militarizzazione e lo sfruttamento di vulnerabilità diffuse hanno introdotto un nuovo vettore per gli aggressori per distribuire il ransomware, un'altra tendenza di cui i team di sicurezza devono essere consapevoli. A seconda di come la vulnerabilità è collegata all'ambiente, gli avversari potrebbero essere in grado di distribuire rapidamente il loro ransomware con le autorizzazioni.

Ad esempio, tra marzo e aprile 2021, sono state corrette diverse vulnerabilità che interessavano Exchange Server on-premises di Microsoft, versioni 2013, 2016 e 2019. Quasi contemporaneamente all'annuncio delle vulnerabilità, gli avversari avevano già armato e scansionato i server Exchange vulnerabili connessi a Internet, che ovviamente erano migliaia. A questo punto, un semplice allineamento di script e scanner automatizzati ha fatto il lavoro sporco.

La portata con cui gli avversari possono automatizzare le loro operazioni introduce nuove complessità, da cui deriva la necessità di un adeguato programma di gestione delle vulnerabilità e del ciclo di vita del software. Quando viene segnalata una vulnerabilità in un prodotto o in una libreria software, i team di sicurezza non hanno giorni o settimane a disposizione per identificarla e catalogarla. Questo compito deve essere svolto in anticipo. In questa discussione possono essere inclusi anche i programmi di visibilità delle risorse, perché forniscono ai team di sicurezza informazioni dettagliate sulle risorse e possono combinare il meglio dei due mondi con un catalogo dei software installati.

Considerazioni finali

In questo white paper abbiamo esaminato l'impatto del ransomware sulle 2.000 aziende più grandi al mondo. Sebbene il ransomware prenda di mira organizzazioni ben oltre questa lista (dopotutto, il denaro è denaro), vale la pena osservare come le aziende con risorse gestiscono la minaccia del ransomware. Il fatturato equivale all'investimento nella sicurezza informatica? Rende la rete di un'organizzazione un bersaglio più appetibile? È entrambe le cose, o anche di più?

Riteniamo che, nonostante si tratti di un attacco indiscriminato, gli insegnamenti tratti dalle violazioni ransomware G2K di dominio pubblico possano aiutare altre organizzazioni a implementare difese più solide. Bloccare protocolli come l'accesso remoto e implementare programmi efficaci di visibilità e gestione delle vulnerabilità può costituire un deterrente significativo per gli avversari. Un team di sicurezza informato è sempre pronto a "combattere" e a contrastare qualsiasi minaccia, compreso il ransomware.

---

^{1 Le} classifiche G2K riportate nei sottotitoli sono tratte dalla lista Global 2000 di Forbes del 2021.